Comment fonctionne l'étiquetage dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne l'étiquetage dans AWS WAF

Cette section explique comment AWS WAF les étiquettes fonctionnent.

Lorsqu'une règle correspond à une requête Web, si des libellés sont définis pour la règle, AWS WAF ajoute les étiquettes à la demande à la fin de l'évaluation des règles. Les règles évaluées après la règle correspondante sur le Web ACL peuvent correspondre aux étiquettes ajoutées par la règle.

Qui ajoute des étiquettes aux demandes

Les ACL composants Web qui évaluent les demandes peuvent ajouter des étiquettes aux demandes.

  • Toute règle qui n'est pas une déclaration de référence de groupe de règles peut ajouter des étiquettes aux requêtes Web correspondantes. Les critères d'étiquetage font partie de la définition de la règle, et lorsqu'une requête Web correspond à la règle, AWS WAF ajoute les libellés de la règle à la demande. Pour plus d’informations, veuillez consulter AWS WAF règles qui ajoutent des étiquettes.

  • L'instruction de règle de correspondance géographique ajoute des libellés de pays et de région à toutes les demandes qu'elle inspecte, que la déclaration aboutisse ou non à une correspondance. Pour plus d’informations, veuillez consulter Instruction de correspondance géographique de règle.

  • Le AWS Règles gérées pour AWS WAF tous ajoutent des étiquettes aux demandes qu'ils inspectent. Ils ajoutent des étiquettes en fonction des correspondances de règles dans le groupe de règles et en ajoutent d'autres en fonction de AWS les processus utilisés par les groupes de règles gérés, tels que l'étiquetage des jetons ajouté lorsque vous utilisez un groupe de règles d'atténuation intelligente des menaces. Pour plus d'informations sur les étiquettes ajoutées par chaque groupe de règles géré, consultezAWS Liste des groupes de règles gérées.

Comment ? AWS WAF gère les étiquettes

AWS WAF ajoute les libellés de la règle à la demande à la fin de l'inspection de la demande par la règle. L'étiquetage fait partie des activités de correspondance d'une règle, tout comme l'action.

Les libellés ne sont pas conservés dans la requête Web une fois l'ACLévaluation Web terminée. Pour que les autres règles correspondent à une étiquette ajoutée par votre règle, votre action de règle ne doit pas mettre fin à l'évaluation de la requête Web par le WebACL. L'action de la règle doit être définie sur Count, CAPTCHA, ou Challenge. Lorsque l'ACLévaluation Web ne se termine pas, les règles suivantes sur le Web ACL peuvent exécuter leurs critères de correspondance des étiquettes en fonction de la demande. Pour plus d'informations sur les actions de règle, consultez Utilisation des actions liées aux règles dans AWS WAF.

Accès aux étiquettes lors de ACL l'évaluation Web

Une fois ajoutées, les étiquettes restent disponibles sur demande tant que AWS WAF évalue la demande par rapport au WebACL. Toute règle d'un site Web ACL peut accéder aux libellés ajoutés par les règles déjà exécutées sur le même site WebACL. Cela inclut les règles définies directement sur le Web ACL et les règles définies dans les groupes de règles utilisés sur le WebACL.

  • Vous pouvez effectuer une comparaison avec une étiquette figurant dans les critères d'inspection des demandes de votre règle à l'aide de l'instruction de correspondance des étiquettes. Vous pouvez faire correspondre n'importe quelle étiquette attachée à la demande. Pour plus de détails sur le relevé, voirDéclaration de règle de correspondance des étiquettes.

  • L'instruction de correspondance géographique ajoute des étiquettes avec ou sans correspondance, mais elles ne sont disponibles qu'une fois que la ACL règle Web contenant l'instruction a terminé l'évaluation de la demande.

    • Vous ne pouvez pas utiliser une seule règle, par exemple une AND instruction logique, pour exécuter une instruction de correspondance géographique suivie d'une instruction de correspondance d'étiquettes par rapport aux étiquettes géographiques. Vous devez placer l'instruction label match dans une règle distincte qui s'exécute après la règle contenant l'instruction Geo Match.

    • Si vous utilisez une instruction de correspondance géographique comme instruction de délimitation dans une déclaration de règle basée sur le taux ou une déclaration de référence à un groupe de règles géré, les étiquettes ajoutées par l'instruction de correspondance géographique ne peuvent pas être inspectées par l'instruction de la règle qui les contient. Si vous devez inspecter l'étiquetage géographique dans une déclaration de règle basée sur les taux ou dans un groupe de règles, vous devez exécuter l'instruction de correspondance géographique dans une règle distincte qui s'exécute au préalable.

Accès aux informations relatives aux étiquettes en dehors de l'ACLévaluation en ligne

Les libellés ne sont pas conservés dans la requête Web une fois l'ACLévaluation Web terminée, mais AWS WAF enregistre les informations relatives aux étiquettes dans les journaux et dans les métriques.

  • AWS WAF stocke les CloudWatch statistiques Amazon pour les 100 premières étiquettes sur chaque demande. Pour plus d'informations sur l'accès aux métriques relatives aux étiquettes, reportez-vous aux Surveillance avec Amazon CloudWatch sections etMétriques et dimensions des étiquettes.

  • AWS WAF résume les mesures relatives aux CloudWatch étiquettes dans les tableaux de bord d'aperçu ACL du trafic Web du AWS WAF console. Vous pouvez accéder aux tableaux de bord sur n'importe quelle ACL page Web. Pour de plus amples informations, veuillez consulter Tableaux de bord d'aperçu du ACL trafic Web.

  • AWS WAF enregistre les étiquettes dans les journaux pour les 100 premières étiquettes sur demande. Vous pouvez utiliser des étiquettes, ainsi que l'action de la règle, pour filtrer les journaux qui AWS WAF records. Pour plus d’informations, veuillez consulter Journalisation AWS WAF du trafic ACL Web.

Votre ACL évaluation Web peut appliquer plus de 100 étiquettes à une requête Web et la comparer à plus de 100 étiquettes, mais AWS WAF enregistre uniquement les 100 premiers dans les journaux et les métriques.